В условиях строгих требований законодательства и повышенного внимания к защите персональных данных важна эффективная обработка обращений (запросов, требований) субъектов персональных данных. Поэтому она становится одним из важных элементов работы любой организации. Неправильная обработка запроса субъекта, или непринятие мер реагирования по ним, может повлечь привлечение оператора к административной ответственности по ч. ч. 4, 5, 5.1. ст. 13.11 КоАП РФ. Соответственно, возникает необходимость в четкой системе реагирования на такие запросы и требования.
В статье мы расскажем о различных видах обращений субъектов, правилах их рассмотрения. Также расскажем о мерах реагирования, которые необходимо принимать операторам в связи с их поступлением. В первой части статьи речь пойдет о видах обращений и общих правилах обработки запросов.
Исходя из положений 152-ФЗ можно выделить основные виды обращений субъекта ПДн к операторам:
- Отзыв согласия на обработку ПДн (ч. 2 ст. 9 152-ФЗ);
- Запрос на получение информации, касающейся обработки ПДн (ч. 1 ст. 14 152-ФЗ);
- Требование об уточнении, блокировании или уничтожении ПДн (ч. 1 ст. 14 152-ФЗ);
- Требование о прекращении передачи (распространения, предоставления, доступа) персональных данных, ранее разрешенных субъектом персональных данных для распространения (ч. ч. 12, 14 ст. 10.1 152-ФЗ)
Запросы субъектов могут носить смешанный характер.
Например, в своем обращении субъект персональных данных отзывает свое согласие на обработку ПДн. При этом он одновременно требует уничтожить отозванные ПДн.
К содержанию некоторых запросов законом о персональных данных установлены определенные требования.
Для запросов на получение информации, касающейся обработки ПДн, требовании об уточнении, блокировании или уничтожении ПДн, направляемых в рамках ч. 3 ст. 14 152-ФЗ, установлены требования. В частности, в них должна быть включена следующая информация:
- Номер документа, удостоверяющего личность субъекта ПДн или его представителя, сведения о дате его выдачи и выдавшем органе
- Сведения, подтверждающие участие субъекта ПДн в отношениях с оператором или факт обработки ПДн оператором
- Подпись субъекта ПДн или его представителя.
Также требования о прекращении передачи (распространения, предоставления, доступа) персональных данных, ранее разрешенных субъектом персональных данных для распространения, должны включать согласно ч. 12 ст. 10.1 152-ФЗ:
- Фамилию, имя, отчество (при наличии)
- Контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных.
- Перечень персональных данных, обработка которых подлежит прекращению.
Вместе с тем в отношении других запросов и требований строгих условий закон не устанавливает. Однако важно, чтобы запрос был сформулирован таким образом, чтобы оператор мог понять, кто именно к нему обращается. Кроме того, оператор должен понимать, каким образом данный субъект связан с компанией и какова цель обращения.
При этом субъект может обратиться к оператору различными способами: лично, почтовым отправлением, в форме электронного документа на электронную почту оператора, предложенным оператором способом (например, через личный кабинет) или иным другим способом.
Закон не ограничивает субъекта ПДн в выборе способа направления обращения. Поэтому, оператор тоже не может препятствовать субъекту выбрать способ обращения.
Например, указать в политике, что обращения принимаются только через форму на сайте. При этом поступившие иным способом (почтой России, например) не будут рассматриваться.
Однако для более быстрого, удобного и эффективного решения возникших у субъекта вопросов в области ПДн, оператор может предложить субъекту способы взаимодействия, указав их, например, в Политике обработки ПДн.
Что можно предложить:
- Во-первых, форму заявления, не противоречащую ч. 3 ст. 14 152-ФЗ. Не нужно требовать безосновательно больше данных, чем предусмотрено данной нормой.
Например, среди обязательных требований к запросу по ч. 3 ст. 14 152-ФЗ нет адреса регистрации. Для обратного ответа субъект может указать только электронную почту или фактический адрес проживания. Если же оператор в форму заявления включит адрес регистрации в качестве обязательного для заполнения поля — могут быть претензии со стороны субъекта.
- Во-вторых, способы направления заявления (можно выделить приоритетный способ взаимодействия).
Например: «Субъект может отозвать согласие на обработку ПДн путем предоставления оператору по адресу его места нахождения подлинника такого отзыва. Либо путем направления электронного документа (или скан-копии заявления) на адрес электронной почты …»
Указывая способ взаимодействия, нужно быть осторожными с формулировками. При этом выстраивайте их таким образом, чтобы они не были категоричными и бескомпромиссными. И чтобы они не могли быть расценены как ущемление прав субъектов ПДн.
Формулируйте именно как предложение, а не требование!
Кроме того, следует помнить, что, если запрос субъекта поступил к вам не предложенным вами, а иным способом, это не может быть основанием для отказа в его рассмотрении.
Кто в компании занимается рассмотрением запросов субъектов?
В соответствии с п. 3 ч. 4 ст. 22.1 152-ФЗ ответственный за организацию обработки ПДн организует прием и обработку обращений и запросов субъектов. Также он осуществляет контроль за приемом и обработкой таких обращений и запросов.
Таким образом, без ответственного не обойтись. При этом рассматривать запрос и готовить на него ответ может любой сотрудник, которому ближе суть запроса и который располагает необходимой информацией. Например: юрист, кадровик (если речь о запросах сотрудников по поводу обработки их ПДн), сотрудник клиентской службы (если запрос клиента касается конкретных аспектов, связанных с его деятельностью) и т. д.
В целях обеспечения эффективного реагирования на запросы субъектов ПДн, рекомендуется утвердить Правила (Инструкцию) рассмотрения запросов субъектов ПДн. Для формирования таких Правил удобно использовать шаблоны, предоставляемые сервисом 152DOC.
Например, правила могут включать в себя:
- процедуру регистрации и учета запросов,
- порядок рассмотрения запросов (определение ответственных лиц, сроков рассмотрения, уведомление субъекта ПДн о результатах рассмотрения) и т.д.
Эти правила необходимы для того, чтобы сотрудники имели четкое представление о процессе работы с запросами. Кроме того, они помогают оперативно и грамотно реагировать на запросы. Это снижает риск ошибок и задержек. Правила устанавливают прозрачные процедуры ответа на запросы, сроки реагирования и обеспечивают их своевременную обработку в соответствии с требованиями законодательства.
Подводя итог первой части статьи, хочется подчеркнуть: понимание этих аспектов способствует эффективной работе операторов. В результате это является основой для соблюдения законодательных норм и предотвращения юридических последствий.
В конце статьи делимся с вами примером Уведомления с отказом в отзыве ПДн, чтобы правильно работать с субъектами персональных данных.
Во второй части статьи мы более детально рассмотрим каждый тип запроса субъектов персональных данных и способы их обработки со стороны операторов.
Субъекту персональных данных:
____________________________________
____________________________________
____________________________________
(Ф.И.О.)
Адрес: ____________________________
____________________________________
Уведомление
Оператор персональных данных: ______________________________________, находящийся по адресу:
_______________________________________________________________________________________________________.
По Вашему запросу от: _____________________________________________________________________________
(дата запроса)
уведомляет Вас о невозможности принятия мер в связи с отзывом согласия на обработку персональных данных в следующих целях:
_______________________________________________________________________________________________________
Причина отказа: ____________________________________________________________________________________
(указывается на наличие условий обработки ПДн в соответствии с Федеральным законом «О персональных данных»)
Дата начала обработки персональных данных: __________________________________________________
Срок или условие прекращения обработки персональных данных:
______________________________________________________________________________________________________
___________________________ ______________ _____________________________________________________
(должность) (подпись) (Ф.И.О.)
« » __________ 20 г.
Шаблон уведомления на запрос субъекта ПДн доступен по ссылке